根据域名进行分类

证书中包含最重要的元素就是域名（主机），根据证书主机数量也可以对证书进行分类，共有四种类型的证书。

（1）单域名证书

一张证书包含一个域名（比如www.example.com），价格相对便宜。

（2）泛域名（Wildcard Domain）证书

在介绍泛域名之前，先介绍注册域的概念，注册域就是服务器实体在域名注册商购买的域名，比如主机www1.example.com和www2.example.com的注册域就是example.com。

基于注册域，域名拥有者可以分配多个子域名，这些子域名组合在一起就是泛域名，比如example.com注册域的泛域名就是.example.com, .example.com泛域名可以包含www1.example.com、www2.example.com、www3.example.com等主机。

那什么是泛域名证书呢？举个例子，某个企业拥有一个注册域example.com，现在需要开展一项新业务，分配一个www1.example.com主机，为该主机申请了一张证书，过了一段时间，又开展了一项新业务，分配了一个www2.example.com主机，那么如何申请证书呢？有两种策略：

◎为www2.example.com主机新生成一张证书。

◎在原有www1.example.com证书上，新增加一个主机www2.example.com。

第一种方式的缺点就在于每个主机要单独申请证书，如果未来还要分配主机，就需要再申请证书，证书管理非常复杂。

第二种方式就是泛域名证书，可以将多个同级的主机合并到一张证书中，泛域名证书的优点就在于增加新主机时不用更新证书，新增主机本来就包含在泛域名证书中。

“多个同级的主机合并到一张证书中”是非常关键的一句话，比如www1.www.example.com主机和www2.www.example.com主机不能合并到．example.com泛域名证书中，只能合并到．www.example.com证书中。

（3）SAN（Subject Alternative Names）证书

对于中大型规模的公司来说，可能有多个注册域，如果需要将多个不同的注册域合并到一张证书中，就需要申请SAN证书，比如可以将www.example.com、www.example.cn合并到一张证书中，这种证书也称为多域名证书。

（4）SAN范域名证书

这种类型的证书结合了SAN证书和范域名证书的特点，比如将www.example.com、www.example.cn、*.example.org域名合并到一张证书中。

这种证书非常昂贵，大型企业为了方便管理证书，一般采用这种类型的证书。需要注意的是，一个企业不应该使用多级主机，读者可以思考，如果一个企业有example.com、example.cn、example.org注册域，还有*.www.example.com泛域名主机，如何申请证书？

这些主机无法合并到一张证书，StackOverflow在迁移HTTPS网站的时候就遇到了该问题，最后废除了．www.example.com的主机，将这些主机的请求全部CNAME到．example.com主机中，最终为．example.com、.example.cn、*.example.org申请了一张SAN范域名证书。

最后需要强调的是，某些CA机构规定EV证书才能支持多主机或者泛域名，当然大部分CA机构没有该限制。